О браузере Тор и проверке его подписи

О браузере Тор и проверке его подписи
Автор
Сообщение
marsdmitri
#35970 2020-01-31 15:08 GMT

 браузер Тор,  блокирует ненужную рекламу иностранцев.

Он представляет собой архив tor-browser-linux64-9.0.4_en-US.tar.xz, который скачивается с сайта:   https://www.torproject.org/download/

1. после скачивания нужно проверить подпись архива, что вы скачали непроврежденный архив.
Об этом написано по английски.
https://support.torproject.org/tbb/how-to-verify-signature/

Я опишу действия на линуксе Убинту по русски.

Архив tor-browser-linux64-9.0.4_en-US.tar.xz скачен в каталог /Загрузки
Кроме архива я скачал в каталог /Загрузки фаил подписи архива с расширением tor-browser-linux64-9.0.4_en-US.tar.xz.asc

Это публичный ключ, принадлежащий подписавшему.

<code>----BEGIN PGP SIGNATURE-----
..
-----END PGP SIGNATURE-</code>

1.1 B каталогe /Загрузки даю команду импорта ключа c  сайта    torproject.org

$ gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
gpg: ключ 4E2C6E8793298290: «Tor Browser Developers (signing key) <torbrowser@torproject.org>» не изменен
gpg: Всего обработано: 1
gpg:              неизмененных: 1
pub   rsa4096 2014-12-15 [C] [годен до: 2020-08-24]
      EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid         [ неизвестно ] Tor Browser Developers (signing key) <torbrowser@torproject.org>
sub   rsa4096 2018-05-26 [S] [годен до: 2020-09-12]

1.2 даю команду импорта ключа  в файл tor.keyring в каталогe /Загрузки

$ gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

1.3  Команда проверки  скаченного ключа с размером фаила архива

$ gpgv --keyring ./tor.keyring ~/Загрузки/tor-browser-linux64-9.0.4_en-US.tar.xz.asc ~/Загрузки/tor-browser-linux64-9.0.4_en-US.tar.xz
gpgv: Подпись сделана Thu 09 Jan 2020 11:09:44 PM MSK
gpgv:                ключом RSA с идентификатором EB774491D9FF06E2
gpgv: Действительная подпись пользователя «Tor Browser Developers (signing key) <torbrowser@torproject.org>»
$

Операция проверки архива закончена.

1.4 Пример неправильных команд, если я специально что-то пропустил.

$ gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux64-9.0.4_en-US.tar.xz
gpgv: не могу открыть '/home/d7/Downloads/tor-browser-linux64-9.0.4_en-US.tar.xz': Нет такого файла или каталога
gpgv: verify signatures failed: Нет такого файла или каталога


$ gpgv --keyring ./tor.keyring ~/Загрузки/tor-browser-linux64-9.0.4_en-US.tar.xz.asc
gpgv: нет подписанных данных
gpgv: can't hash datafile: Нет данных

2. После распаковки папки  можно сразу пользоваться Браузер Top, нажав на ярлычок запуска (который указывает на файл скрипта старт.) без установок.

Папку  браузера надо не устанавливать на рабочий стол, а в какую-то специальную папку.
Операция проверки архива закончена. 
3. Hадо задать право запускать фаил скрипта как программу.
Это портативная версия.

Браузер Top сразу говорит, что сайт sfiz.ru опасен. Могут похитить пароли.

Если что не понятно, пишите вопросы.

4. На виндоуз программы   gpgv нет. Ее надо устанавливать дополнительно.

$ sudo apt install gpgv

5. Если вдруг в Linux у вас не получается скачать фаил с ключом, тогда скачайте его дубликат с саита:

https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf

Затем установите на компьютер программу командой

$ sudo apt install curl

И используйте алтернативный импорт ключа в вашу базу данных.

$curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

Ho Команда проверки  скаченного ключа с размером фаила архива

$ gpgv --keyring ./tor.keyring ~/Загрузки/kounek7zrdx745qydx6p59t9mqjpuhdf ~/Загрузки/tor-browser-linux64-9.0.4_en-US.tar.xz

$ gpgv --keyring ./tor.keyring ~/Загрузки/kounek7zrdx745qydx6p59t9mqjpuhdf ~/Загрузки/tor-browser-linux64-9.0.4_en-US.tar.xz
gpgv: verify signatures failed: Неожиданная ошибка

Т.е. после скачивания этого фаила, надо задать расширение файла и дать команду на импорт ключа.
И затем дать эту командy проверки.

Т.е. всегда должно быть 3 команды.

-Скачивание файла ключа публичного под тем или иным файлом. Скачивавиние архива с браузером.
-Импорт скаченного публичного ключа в вашы базы данных на вашем компьютере.
-Задание команды проверки.Надо указывать 3 параметра.И  правильно директорию, где находится архив и файл публичного скаченного публичного ключа.

6. Для пользователей Виндоуз Windows Команда проверки  скаченного ключа с размером фаила архива:

>gpgv --keyring .\tor.keyring Downloads\torbrowser-install-win64-9.0_en-US.exe.asc Downloads\torbrowser-install-win64-9.0_en-US.exe

Читайте инструкции man gpgv. https://www.gnupg.org/documentation/

Bac интересуют --verify и --keyring. для проверки удобнее использовать gpgv, у которого ман намного короче gpg2.

Чтобы проверить интересные циферки, можно их вести в гугл, и, возможно, он расскажет чьи эти циферки. Или указать свою связку известных ключей --keyring=


отредактировал(а) marsdmitri: 2020-01-31 16:13 GMT